Impact des modifications de schéma
Une extension de schéma affecte une forêt de domaine contrôlée par services de domaine Active Directory de plusieurs manières :
Les modifications de schéma sont globales. Il existe un schéma unique pour une forêt entière. Le schéma est répliqué globalement : une copie du schéma existe sur chaque contrôleur de domaine de la forêt. Lorsque vous étendez le schéma, il est étendu pour l’ensemble de la forêt.
Les ajouts d’objets de schéma ne peuvent pas être inversés. Lorsqu’un nouvel objet de classe ou d’attribut est ajouté au schéma, il ne peut pas être supprimé. Un attribut ou une classe existante peut être désactivé, mais pas supprimé. Pour plus d’informations, consultez Désactivation des classes et des attributs existants. La désactivation d’une classe ou d’un attribut n’affecte pas les instances existantes de la classe ou de l’attribut, mais empêche la création de nouvelles instances. Vous ne pouvez pas désactiver un attribut s’il est inclus dans une classe qui n’est pas désactivée.
Les OID doivent être uniques. Lorsqu’un attribut ou une classe est ajouté au schéma, aucun attribut ou classe avec le même OID ne peut être ajouté. Cela est vrai même si une classe ou un attribut a été désactivé. Pour cette raison, vous devez utiliser des OID valides. Ne synthétisez pas d’OID et ne réutilisez pas un OID existant. Pour plus d’informations sur l’obtention d’un OID valide, consultez Obtention d’un identificateur d’objet racine.
Certaines modifications peuvent être apportées après la création :
- Pour une classe de catégorie 1 ou 2, vous pouvez ajouter ou supprimer des valeurs dans l’attribut possSuperiors . Les valeurs possSuperiors spécifient les classes d’objets qui peuvent contenir la classe .
- Pour une classe de catégorie 1 ou 2, vous pouvez ajouter ou supprimer des valeurs dans l’attribut mayContain . Les valeurs mayContain spécifient les attributs facultatifs, mais peuvent être présentes dans un instance de la classe.
Le lDAPDisplayName d’une classe ou d’un attribut category 2 peut être modifié après sa création. En règle générale, vous ne devez pas modifier le lDAPDisplayName. Toutefois, il existe une raison légitime de modifier le nom LDAP: si vous avez commis une erreur lors de la définition de l’attribut ou de la classe et que vous devez en créer un nouveau pour remplacer l’ancien. Pour ce faire, vous n’avez pas besoin de renommer le nom unique relatif (RDN) de l’attribut ou du schéma de classe. Lorsque le nom LDAP est modifié, cela vous permet de contourner une erreur plutôt que de reconstruire l’ensemble de votre infrastructure Windows 2000. Pour plus d’informations, consultez Désactivation des classes et des attributs existants.
Le lDAPDisplayName pour les classes ou attributs prédéfinis (catégorie 1) ne peut pas être modifié. Pour plus d’informations sur les objets de schéma de catégorie 1 et 2, consultez Restrictions sur l’extension de schéma.